Secretos, contraseñas y certificados autoalojados para Kubernetes. AES-256-GCM en reposo, autenticación de máquina basada en PAT, CLI + GitHub Action + CronJob de sincronización con K8s, SSO con Keycloak. La alternativa autoalojada a Doppler — hoy en producción en Sensey.
CLI, UI, GitHub Action, and PAT-authenticated machines write encrypted secrets
AES-256-GCM ciphertext at rest, scoped per organization, project, and environment
Runs every 2 minutes inside each cluster, pulls scoped secrets, writes to K8s
Annotated for Stakater Reloader — pods auto-restart on content change
Kagi es cómo Sensey gestiona cada secreto, contraseña y certificado a través de todos nuestros clústeres de Kubernetes. Cada credencial de producción descrita aquí pasa hoy por Kagi — entregada a los pods por un CronJob de sincronización y rotada sin tiempo de inactividad gracias a Stakater Reloader. Lo construimos porque lo necesitábamos.
AES-256-GCM en reposo, alcance por organización y una jerarquía de proyecto + entorno. Soft-delete con auditoría completa — tú eres dueño de los datos y de las claves de cifrado.
Un CronJob sincroniza los proyectos de Kagi con los Kubernetes Secrets cada dos minutos. Los pods se recargan automáticamente mediante anotaciones de Stakater Reloader, así las credenciales rotan sin reinicios manuales ni tiempo de inactividad.
Personal Access Tokens (prefijo vv_, hasheados con SHA-256) con expiración opcional y alcance organizacional. Los mismos tokens alimentan la CLI, los pipelines CI/CD y los trabajos de sincronización dentro del clúster.
La CLI de Kagi en Go se distribuye por Homebrew. Un GitHub Action inyecta secretos en $GITHUB_ENV, kagi run -- <cmd> envuelve comandos de desarrollo local, y el import/export masivo de .env preserva flujos existentes.
CLI, UI, GitHub Action, and PAT-authenticated machines write encrypted secrets
AES-256-GCM ciphertext at rest, scoped per organization, project, and environment
Runs every 2 minutes inside each cluster, pulls scoped secrets, writes to K8s
Annotated for Stakater Reloader — pods auto-restart on content change
Engineer or CI writes secret via CLI, UI, or GitHub Action
AES-256-GCM encryption using per-organization data key
Persisted as ciphertext in Postgres with audit metadata
CronJob pulls scoped project into in-cluster Kubernetes Secret
Pods mount the updated Secret as env vars or files
Stakater Reloader restarts affected Deployments on content change
Ingenieros de plataforma que reemplazan Doppler o Vault con una alternativa autoalojada y nativa de Kubernetes bajo su control total
Equipos DevOps que necesitan entrega de secretos compatible con GitOps, con recarga automática de pods y rotación sin tiempo de inactividad
Pymes conscientes de la seguridad que quieren control total sobre sus claves de cifrado, auditoría y residencia de datos
Únete al círculo fundador y opera la misma plataforma de secretos que Sensey usa para proteger sus propias cargas de trabajo en Kubernetes.
Solicitar Acceso Anticipado